logo-print

DMΑ: Νέες υποχρεώσεις συμμόρφωσης για τις ψηφιακές αγορές

Έπειτα από 15 μήνες εντατικών διαπραγματεύσεων σχετικά με τις τροποποιήσεις της αρχικής πρότασης, οι πρόεδροι του Ευωκοινοβουλίου, του Συμβουλίου της Ε.Ε. και της Ευρωπαϊκής Επιτροπής κατέληξαν σε πολιτική συμφωνία σχετικά με το τελικό κείμενο της DMA στις 24 Μαρτίου 2022. Ο χρόνος συμμόρφωσης προβλέπεται να διαρκέσει μέχρι τις αρχές του 2024.

Η Ευρωπαϊκή Ένωση (ΕΕ), με το πολυαναμενόμενο «Digital Markets Act» (εφεξής «DMA»), πρόκειται να υιοθετήσει σύντομα νέους σαρωτικούς κανόνες για τη ρύθμιση της συμπεριφοράς των μεγαλύτερων ψηφιακών πλατφορμών. Έπειτα από 15 μήνες εντατικών διαπραγματεύσεων σχετικά με τις τροποποιήσεις της αρχικής πρότασης, οι πρόεδροι του Ευωκοινοβουλίου, του Συμβουλίου της Ε.Ε. και της Ευρωπαϊκής Επιτροπής κατέληξαν σε πολιτική συμφωνία σχετικά με το τελικό κείμενο της DMA στις 24 Μαρτίου 2022. Η τελική ψήφιση έχει προγραμματιστεί για τον Ιούλιο του 2022, ενώ οι κανόνες που το DMA προβλέπει αναμένεται να τεθούν σε ισχύ τον Οκτώβριο του 2022. Ο χρόνος συμμόρφωσης προβλέπεται να διαρκέσει μέχρι τις αρχές του 2024.

Το DMA χαρακτηρίζεται ως ρυθμιστικό εργαλείο και πρόκειται να εφαρμόζεται παράλληλα με τους αντιμονοπωλιακούς κανόνες και άλλες σχετικές νομοθετικές ρυθμίσεις σε εθνικό επίπεδο. Επισημαίνεται ότι η ΕΕ βρίσκεται ταυτόχρονα σε στάδιο οριστικοποίησης διάφορων άλλων ρυθμιστικών πρωτοβουλιών, όπως τους Κανονισμούς «Digital Services Act» (DSA), «Data Act» και «AI Act». Αυτό σημαίνει ότι οι εταιρείες που επιθυμούν να δραστηριοποιηθούν στην Ευρώπη θα πρέπει να περιηγηθούν σε ένα ολοένα και πιο πολύπλοκο πλέγμα κανόνων και να θέσουν ως προτεραιότητα τον σχεδιασμό της συμμόρφωσης. Παράλληλα, οι κανόνες αυτοί θα μπορούσαν επίσης να αποτελέσουν το de facto παγκόσμιο πρότυπο για τις τεχνολογικές πλατφόρμες, καθώς άλλες δικαιοδοσίες επιδιώκουν να διαμορφώσουν τους δικούς τους ψηφιακούς κανονισμούς με βάση το παράδειγμα της ΕΕ.

Η αλληλεπίδραση μεταξύ του DMA και του Κανονισμού (ΕΕ) 2016/679 (εφεξής «Γενικός Κανονισμός Προστασίας Δεδομένων» ή «ΓΚΠΔ») θα αποτελέσει πρόκληση τόσο για τις εταιρείες όσο και για αυτούς που θα είναι επιφορτισμένη με την εφαρμογή των κανόνων. Είναι πολύ πιθανό το τελικό κείμενο να έχει σημαντικές ακούσιες δευτερογενείς επιπτώσεις στις εμπορικές συνεργασίες με τη χρήση δεδομένων στον πυρήνα τους. Παρόλο που δεν αναμένεται να είναι διαθέσιμο για τουλάχιστον δύο μήνες, παρατίθενται ακολούθως τα πρώτα συμπεράσματα ως προς τα βασικά σημεία.

Ιστορικό

Το DMA αποτελεί μέρος μιας ευρύτερης ψηφιακής ατζέντας της ΕΕ που επιδιώκει να αναθεωρήσει τους κανόνες που ισχύουν για τις ψηφιακές πλατφόρμες, με στόχο τη διασφάλιση της παγκόσμιας ανταγωνιστικότητας και της κυριαρχίας των δεδομένων της Ευρώπης[1]. Στόχος του DMA είναι να αντιμετωπίσει ένα αντιληπτό κενό ρύθμισης των ψηφιακών πλατφορμών και βασίζεται σε μεγάλο βαθμό σε υποθέσεις αντιμονοπωλιακής νομοθεσίας κατά της λεγόμενης «GAMMA»[2], καθώς και περίπου 15-20 άλλων πλατφορμών (αναμένεται να συμπεριλάβουν την πλατφόρμα διαμονής Booking και τον γίγαντα του ηλεκτρονικού εμπορίου Alibaba). Ωστόσο, οι δευτερογενείς επιπτώσεις για άλλες εταιρείες θα είναι εξίσου σημαντικές.

Πεδίο εφαρμογής

Σύμφωνα με το DMA, οι πάροχοι μεγάλων τεχνολογικών πλατφόρμων πρέπει να αυτοαξιολογούνται και να ενημερώνουν την Ευρωπαϊκή Επιτροπή, ενώ η τελευταία θα είναι αποκλειστικά υπεύθυνη για τον ορισμό των παρόχων αυτών ως «ρυθμιστών της πρόσβασης», δηλαδή παρόχων οι οποίοι προσφέρουν «βασικές υπηρεσίες πλατφόρμας». Ειδικότερα, οι υπηρεσίες αυτές θα περιλαμβάνουν:

  • μηχανές αναζήτησης,
  • καταστήματα εφαρμογών,
  • διαδικτυακές αγορές,
  • πλατφόρμες κοινωνικής δικτύωσης,
  • υπηρεσίες cloud,
  • διαφημιστικές υπηρεσίες,
  • προγράμματα περιήγησης στο διαδίκτυο και
  • φωνητικούς βοηθούς[3].

Το νέο κείμενο του DMA τροποποιεί και αυξάνει τα ποσοτικά κριτήρια για τον χαρακτηρισμό μιας επιχείρησης ως ρυθμιστή της πρόσβασης, και πιο συγκεκριμένα: Μερίδιο αγοράς 75 δισεκατομμυρίων ευρώ ή κύκλο εργασιών στον Ευρωπαϊκό Οικονομικό Χώρο ίσο ή μεγαλύτερο από 7,5 δισεκατομμύρια, 45 εκατομμύρια μηνιαίως ενεργούς τελικούς χρήστες και 10.000 ετήσιους επιχειρηματικούς χρήστες.

Εάν πληρούνται αυτά τα κριτήρια, υπάρχει μαχητό τεκμήριο ότι η εταιρεία είναι ρυθμιστής της πρόσβασης. Ωστόσο, ακόμη και κάτω από τα κατώτατα όρια, η Ευρωπαϊκή Επιτροπή μπορεί να ορίσει ρυθμιστές της πρόσβασης με βάση μια μελέτη αγοράς, η οποία θα δείχνει ότι μια εταιρεία έχει:

  • σημαντικό αντίκτυπο στην εσωτερική αγορά,
  • ισχυρή διαμεσολαβητική θέση, και
  • εδραιωμένη και μόνιμη θέση στην αγορά ή είναι προβλέψιμο ότι θα έχει τέτοια θέση στο εγγύς μέλλον.

Το μαχητό τεκμήριο, η δυνατότητα της Ευρωπαϊκής Επιτροπής να ορίζει ρυθμιστές της πρόσβασης κάτω από το κατώτατο όριο και τα ποιοτικά κριτήρια μπορεί να οδηγήσουν σε σημαντική νομική αβεβαιότητα ως προς τον τρόπο με τον οποίο θα εφαρμοστεί στην πράξη η DMA.

Χρονοδιάγραμμα

Οι νέοι κανόνες προβλέπουν ένα σύνθετο πλαίσιο όσον αφορά την εφαρμογή τους. Σύμφωνα με τις αναφορές στο τελικό κείμενο, οι νέοι κανόνες θα τεθούν σε ισχύ τον Οκτώβριο του 2022, πράγμα που σημαίνει ότι η νομοθεσία θα αρχίσει να εφαρμόζεται έξι μήνες αργότερα (περίπου τον Απρίλιο του 2023). Στη συνέχεια, οι «ρυθμιστές της πρόσβασης» θα έχουν δύο μήνες στη διάθεσή τους για να γνωστοποιήσουν στην Ευρωπαϊκή Επιτροπή ότι οι υπηρεσίες τους εμπίπτουν στο πεδίο εφαρμογής της (άρα μέχρι τον Ιούνιο του 2023). Η Ευρωπαϊκή Επιτροπή έχει στη διάθεσή της 45 ημέρες για να ορίσει επίσημα μια εταιρεία ως ρυθμιστή της πρόσβασης. Ένας ρυθμιστής της πρόσβασης θα έχει στη συνέχεια έξι μήνες (περίπου από τον Αύγουστο του 2023) για να συμμορφωθεί με τους κανόνες, οπότε η πραγματική εφαρμογή των κανόνων θα γίνει περίπου τον Φεβρουάριο/Μάρτιο του 2024.

Αυτό σημαίνει ότι οι εταιρείες που προβλέπεται ότι εμπίπτουν στο πεδίο εφαρμογής του DMA έχουν «τύποις» περίπου δύο χρόνια για να προετοιμαστούν, αλλά, στην πραγματικότητα, ο σχεδιασμός της συμμόρφωσης πρέπει να έχει ήδη ξεκινήσει, δεδομένης της εκτεταμένης φύσης των υποχρεώσεων και του αντίκτυπου στο σχεδιασμό των προϊόντων.

Υποχρεώσεις και απαγορεύσεις

Το DMA περιλαμβάνει κατάλογο 18 συνολικά υποχρεώσεων και απαγορεύσεων με τις οποίες θα πρέπει να συμμορφώνονται οι ρυθμιστές της πρόσβασης. Οι κανόνες αυτοί αφορούν, μεταξύ άλλων, τη διαλειτουργικότητα μεταξύ πλατφορμών, τον συνδυασμό δεδομένων, την πρόσβαση σε δεδομένα από επιχειρηματικούς χρήστες και την αυτοαναφορά. Ορισμένα βασικά σημεία είναι τα εξής:

  • Διαλειτουργικότητα: Οι ρυθμιστές της πρόσβασης δεν πρέπει να εμποδίζουν τη διαλειτουργικότητα, μεταξύ άλλων, χρησιμοποιώντας τεχνικές προστασίες, όρους που εισάγουν διακρίσεις, υποβάλλοντας τα APIs σε πνευματικά δικαιώματα ή παρέχοντας παραπλανητικές πληροφορίες. Νέα απαίτηση αποτελεί το ότι οι υπηρεσίες ανταλλαγής μηνυμάτων, όπως το WhatsApp και το Facebook Messenger της Meta ή το iMessage της Apple, πρέπει να ανοίγονται και να διαλειτουργούν με μικρότερους προγραμματιστές. Για τις ομαδικές συνομιλίες, η απαίτηση αυτή θα επεκταθεί σε διάστημα τεσσάρων ετών. Ωστόσο, δεν θα υπάρξει υποχρέωση διαλειτουργικότητας για τα κοινωνικά δίκτυα. Η εφαρμογή αυτού του μέτρου θα αποτελέσει πρόκληση και χρήζει ιδιαίτερης προσοχής καθώς θα μπορούσε να έχει σημαντικές επιπτώσεις στην ιδιωτικότητα και την ασφάλεια των ηλεκτρονικών επικοινωνιών, με πιθανή αποδυνάμωση της end -to – end κρυπτογράφησης. Το DMA δημιουργεί επίσης νέες απαιτήσεις για τα λειτουργικά συστήματα να ανοίγονται σε εφαρμογές τρίτων και να επιτρέπουν την παράπλευρη φόρτωση[4], γεγονός που θα επηρεάσει τις εταιρείες που επιτρέπουν σήμερα τη διανομή εφαρμογών μόνο μέσω της πλατφόρμας τους.
  • Συνδυασμός δεδομένων: Χωρίς το τελικό κείμενο, δεν είναι σαφές εάν οι τελευταίες διαπραγματεύσεις προσέθεσαν άλλες νομικές βάσεις του ΓΚΠΔ για τον συνδυασμό δεδομένων, αλλά εάν όχι, οι ρυθμιστές της πρόσβασης πρέπει να λαμβάνουν έγκυρη συγκατάθεση, βάσει του ΓΚΠΔ, του τελικού χρήστη πριν συνδυάσουν προσωπικά του με εκείνα από διαφορετικές υπηρεσίες του ρυθμιστή της πρόσβασης ή τρίτων. Εάν οι χρήστες δεν συγκατατίθενται, οι ρυθμιστές της πρόσβασης πρέπει να παρέχουν εναλλακτικές υπηρεσίες που δεν απαιτούν το ίδιο επίπεδο συνδυασμού δεδομένων ή διασταυρούμενης χρήσης. Η απαίτηση αυτή θα μπορούσε να έχει σημαντικό αντίκτυπο στις πλατφόρμες που εμπλέκονται στην ψηφιακή διαφήμιση ή στον συνδυασμό δεδομένων που συλλέγονται σε διάφορα προϊόντα και υπηρεσίες.
  • Πρόσβαση σε δεδομένα από επιχειρηματικούς χρήστες: Όσον αφορά τη χρήση δεδομένων και την κοινολόγηση τους, το DMA θα απαιτεί από τους ρυθμιστές της πρόσβασης:
    • να κοινοποιούν πληροφορίες σχετικά με τη χρήση της πλατφόρμας τους από τους επιχειρηματικούς χρήστες τους, και
    • να λαμβάνουν τη συγκατάθεση του τελικού χρήστη, όταν οι πληροφορίες αυτές περιέχουν προσωπικά δεδομένα. Αυτό μπορεί να έχει σημαντικές δευτερογενείς επιπτώσεις, καθώς θα μπορούσε να περιορίσει τη δυνατότητα των επιχειρήσεων να λαμβάνουν δεδομένα εταιρικής σχέσης από τους ρυθμιστές της πρόσβασης, καθώς η λήψη της συγκατάθεσης των τελικών χρηστών θα είναι επαχθής. Η απαίτηση για δίκαιη πρόσβαση των επιχειρήσεων στα καταστήματα εφαρμογών των ρυθμιστών της πρόσβασης θα επεκταθεί πλέον και στις μηχανές αναζήτησης και στα δίκτυα κοινωνικών μέσων δικτύωσης.
  • Αυτοαναφορά: Το DMA θα εμποδίζει τους ρυθμιστές της πρόσβασης να προωθούν τις δικές τους υπηρεσίες έναντι των υπηρεσιών των ανταγωνιστών ή να απαιτούν τη χρήση της δικής τους υπηρεσίας ψηφιακών πληρωμών για αγορές εφαρμογών. Συναφώς, στους χρήστες πρέπει να προσφέρεται οθόνη επιλογής με ανταγωνιστικές υπηρεσίες όταν χρησιμοποιούν για πρώτη φορά τη μηχανή αναζήτησης, τον εικονικό βοηθό ή το πρόγραμμα περιήγησης στο διαδίκτυο ενός ρυθμιστή της πρόσβασης.

Σε αντίθεση με τις προτάσεις για ένα παρόμοιο καθεστώς στο Ηνωμένο Βασίλειο, ο κατάλογος των κανόνων δεν κάνει διάκριση μεταξύ των επιχειρηματικών μοντέλων των πλατφορμών και αποτελεί μια άκαμπτη, γενική προσέγγιση. Η Ευρωπαϊκή Επιτροπή θα έχει την εξουσία να διεξάγει μελέτες αγοράς και να επικαιροποιεί τους κανόνες ανάλογα με τις ανάγκες.

Επιβολή

Στην Ευρωπαϊκή Επιτροπή προβλέπονται σημαντικές εξουσίες επιβολής. Ειδικότερα:

  • Πρόστιμα: Θα έχει το δικαίωμα να επιβάλλει πρόστιμα ύψους έως και 10% του συνολικού ετήσιου κύκλου εργασιών της εταιρείας παγκοσμίως και έως 20% σε περίπτωση επαναλαμβανόμενων παραβάσεων.
  • Ενέργειες θεραπείας: Σε περίπτωση συστηματικής μη συμμόρφωσης (τρεις παραβάσεις σε οκτώ χρόνια), η Ευρωπαϊκή Επιτροπή θα μπορεί να διατάσσει διαρθρωτικές μεταρρυθμίσεις, συμπεριλαμβανομένης της διάλυσης εταιρειών και της αναγκαστικής εκποίησης. Οι περιορισμοί που θέτει στους ρυθμιστές της πρόσβασης θα εφαρμόζονται απευθείας στα εθνικά δικαστήρια και θα υπόκεινται σε ιδιωτική επιβολή και ομαδικές αγωγές.
  • Συγχωνεύσεις και Εξαγορές. Η Ευρωπαϊκή Επιτροπή μπορεί επίσης να ζητήσει από τους ρυθμιστές της πρόσβασης να την ενημερώνουν για τυχόν σχεδιαζόμενες συγχωνεύσεις και να εμποδίζει προσωρινά εξαγορές, εάν οι ρυθμιστές της πρόσβασης δεν συμμορφώνονται συστηματικά με τους νέους κανόνες.

Η ομάδα DMA της Ευρωπαϊκής Επιτροπής αναμένεται να έχει περίπου 20 άτομα προσωπικό για το 2022, ενώ μέχρι το 2025 εκτιμάται ότι θα φτάσει τα 80 άτομα. Οι νομοθέτες της ΕΕ και η Επίτροπος Vestager έχουν δηλώσει δημοσίως ότι απαιτείται αύξηση του προϋπολογισμού και περισσότερο προσωπικό για την επαρκή επιβολή της DMA.

Λοιποί Κανονισμοί του «Digital Single Market Strategy»

Η Ευρωπαϊκή Επιτροπή επανέλαβε πρόσφατα ότι η επιβολή της DMA θα είναι παράλληλη με την «ισχυρή επιβολή της νομοθεσίας περί ανταγωνισμού». Μένει να δούμε πώς θα αλληλοεπιδράσει το DMA με την επιβολή της αντιμονοπωλιακής νομοθεσίας στην πράξη.

Παράλληλα με το DMA, το Κοινοβούλιο και το Συμβούλιο κατέληξαν σε προσωρινή πολιτική συμφωνία σχετικά με τον νόμο για τις ψηφιακές υπηρεσίες («Digital Services Act» ή «DSA»). Η ΕΕ επεξεργάζεται επίσης έναν νέο Κανονισμό για τα δεδομένα (Data Act), ο οποίος ασχολείται με τα μη προσωπικά δεδομένα και περιλαμβάνει υποχρεώσεις ανταλλαγής δεδομένων, καθώς και εγγυήσεις για τη διαβίβαση δεδομένων και το νόμο για την τεχνητή νοημοσύνη, ο οποίος προτείνει ένα κοινό κανονιστικό πλαίσιο για τον τρόπο χρήσης της τεχνητής νοημοσύνη.

Σε εθνικό επίπεδο, άλλες δικαιοδοσίες είτε έχουν θεσπίσει παρόμοιους εκ των προτέρων κανόνες (Γερμανία) είτε επεξεργάζονται τις δικές τους προτάσεις για τις πλατφόρμες (λ.χ. Η.Π.Α. και Η.Β.).

Δεδομένων των επικαλύψεων μεταξύ των διαφόρων ρυθμιστικών πρωτοβουλιών, οι τεχνολογικές πλατφόρμες θα πρέπει να υιοθετήσουν μια πιο ολιστική προσέγγιση για τον σχεδιασμό της συμμόρφωσης τους και ίσως χρειαστεί να τα επανασχεδιασουν όλα από την αρχή προκειμένου να αποφύγουν τη δυσκολία της προσαρμογής του σχεδιασμού του προϊόντος, της στρατηγικής μάρκετινκ και των εμπορικών στρατηγικών για κάθε δικαιοδοσία.

Συμπέρασμα

Το DMA πρόκειται να αλλάξει ριζικά τον τρόπο λειτουργίας των ψηφιακών πλατφορμών και κατ’επέκταση της ψηφιακής πραγματικότητας. Ωστόσο, η αβεβαιότητα γύρω από το πλαίσιο του DMA, η έλλειψη επαρκών  οικονομικών αναλύσεων και η απουσία οποιασδήποτε καθοδήγησης σχετικά με την εφαρμογή του DMA στην πράξη αναμένεται να προκαλέσει σημαντικό αριθμό αμφισβητήσεων στις δικαστικές αίθουσες.

Οι επιχειρήσεις  που δραστηριοποιούνται στον ψηφιακό τομέα θα πρέπει ήδη να αρχίσουν να σχεδιάζουν για την μετά -DMA- ημέρα και το ολοένα και πιο περίπλοκο πλέγμα κανονισμών σε ενωσιακό και εθνικό επίπεδο. Τα πλάνα συμμόρφωσης των επιχειρήσεων αυτών ενδέχεται να χρειαστεί να επανασχεδιαστούν από την αρχή και οι ομάδες κανονιστικών και πολιτικών ομάδων να ενημερωθούν για τους σαρωτικούς νέους κανόνες, δεδομένων των σημαντικών δευτερογενών επιπτώσεων ακόμη και για τις μικρότερες εταιρείες τεχνολογίας (ιδίως όσον αφορά την κοινή χρήση δεδομένων).

[1] Οι βασικές πτυχές του ψηφιακού θεματολογίου της ΕΕ είναι η DMA, ο νόμος για τις ψηφιακές υπηρεσίες (ο οποίος ασχολείται με την ευθύνη των πλατφορμών για την παραπληροφόρηση και την ασφάλεια των χρηστών μέσω νέων εκ των προτέρων κανόνων), ο νόμος για τα δεδομένα (ο οποίος ασχολείται με τις υποχρεώσεις ανταλλαγής δεδομένων, τις εγγυήσεις για τη διαβίβαση δεδομένων και τη ρύθμιση της πρόσβασης από δημόσιους φορείς δημιουργώντας εναρμονισμένους κανόνες σε ολόκληρη την ΕΕ) και ο νόμος για την τεχνητή νοημοσύνη (ο οποίος προτείνει ένα κοινό κανονιστικό και νομικό πλαίσιο για την τεχνητή νοημοσύνη).

[2] Google, Amazon, Microsoft, Meta, Apple

[3] Οι δύο τελευταίες προστέθηκαν κατά τη διάρκεια των διαπραγματεύσεων, αλλά οι συνδεδεμένες τηλεοράσεις εξαιρούνται

[4] Ο όρος Sideloading αναφέρεται στη μεταφορά ενός αρχείου μεταξύ δύο τοπικών συσκευών χωρίς τη χρήση του διαδικτύου.

Στέργιος Κωνσταντίνου

Ο Στέργιος Κωνσταντίνου είναι δικηγόρος με ειδίκευση στην προστασία προσωπικών δεδομένων, στη διανοητική ιδιοκτησία και στο δίκαιο των τηλεπικοινωνιών. Διαθέτει πιστοποίηση από το Διεθνή Σύλλογο Επαγγλματιών στην Ιδιωτικότητα (IAPP) στο ενωσιακό...